0

私は支払いゲートウェイを統合しています。ペイメントゲートウェイ機能をシステムに統合するのはこれが初めてで、ペイメントゲートウェイにAuthorized.Netを使用しています。

正常に統合されましたが、ユーザーがアイテムを購入するには次の値を入力する必要があり、トランザクションIDが返されます。

    //post_values.Add("x_card_num", "4111111111111111");
    //post_values.Add("x_card_num", CreditCard);
    //post_values.Add("x_exp_date", "0115");
    ////post_values.Add("x_amount", "19.99");
    ////post_values.Add("x_amount", );
    ////post_values.Add("x_description", "Sample Transaction");
    //post_values.Add("x_amount", txtAmout.Text);

    //post_values.Add("x_description", txtDesc.Text);

    ////post_values.Add("x_first_name", "John");
    ////post_values.Add("x_last_name", "Doe");
    ////post_values.Add("x_address", "1234 Street");
    ////post_values.Add("x_state", "WA");
    ////post_values.Add("x_zip", "98004");
    //post_values.Add("x_first_name", txtFName.Text);
    //post_values.Add("x_last_name", txtFName.Text);
    //post_values.Add("x_address", txtAddr.Text);
    //post_values.Add("x_state", txtState.Text);
    //post_values.Add("x_zip", txtZip.Text);

これらの値は、彼のトランザクションとアイテムの購入を修正するだけなので、私の混乱は、Webサイトの所有者がこのすべての情報をデータベースに入れ、彼の詳細を使用してさらにトランザクションを行った場合、どうなるでしょうか。それは安全で安全ですか、それとも私が理解できなかった何かが起こりますか?

4

3 に答える 3

2

従うべきいくつかの基本的なガイドラインを次に示します。

  1. クレジット番号以外のすべての情報をデータベースに保管してください。暗号化システムが安全だと思わない限り、クレジット番号を保持しないでください。
  2. Store Authorize.net の成功または失敗したトランザクション
  3. 同じユーザーまたはトランザクション結果に関係なく、トランザクションごとに新しい行を作成するトランザクション テーブルを作成する必要があります。
  4. トランザクションの一部を暗号化する: アドレスは暗号化するのに適しています。これにより、ハッキングされた場合でも個人情報の盗難を回避できます。
  5. すべてのユーザーパスワードがハッシュされていることを確認してください
  6. Web サイト データベース接続も暗号化して保存する
  7. ストアド プロシージャのみを使用してデータベースと通信します。ストアド プロシージャが正しく構築されていれば、これにより SQL インジェクションを回避できます。
于 2012-05-22T11:38:00.967 に答える
1

このように、トランザクション モードが Web サイトに存在する場合、Web サイトの所有者はすべての情報を自分のデータベースに入れることができます。これが、私と他のほとんどの人が信頼できるサイトからトランザクションを行うか、信頼できるゲートウェイにリダイレクトするサイトのいずれかであると考える理由です。 Paypal や金融取引の authorize.net など。

于 2012-05-22T11:31:34.167 に答える
1

明確にしていただきありがとうございます。私は現在、これと同じ方法で PayPal を使用しているプロジェクトに取り組んでいます。データベースには認証コードとトランザクション IDのみが保存されます。

私の意見では、ユーザーが情報を保存することで節約できる 30 秒程度は、情報を保存することに伴うリスクに見合うものではありません。定期的な取引を行っている場合、ベンダーは情報を安全に保存します (少なくとも PayPal はそうします) ので、システムにクレジット カード情報を保存する本当の理由はありません。

[編集] Imran が指摘したように、番号の下 4 桁を格納することは、レポートに表示するのに問題ありません。

DB 所有者が情報を保存している場合、クレジット カード会社に連絡して不正請求を報告する以外に、DB 所有者による情報の悪用を防ぐ方法はありません。支払いゲートウェイは、承認された顧客 (つまり、支払いゲートウェイの使用を承認された顧客) の 1 人からトランザクションが行われたことを確認する以外に、誰が支払いの詳細を入力しているかを知りません。

于 2012-05-22T11:43:58.020 に答える